Risk- och sårbarhetsanalys av SUNET Box för Karolinska Institutet

Transkript

1 Risk- ch sårbarhetsanalys av SUNET Bx för Karlinska Institutet Dnr: 1-35/2015 Innehåll 1. Sammanfattning Bakgrund Nuläge SUNET Bx i krthet Juridiska aspekter Urval av skallkraven i SUNET:s upphandlingsunderlag Persnuppgifter i mlnet Kravuppfyllelse persnuppgiftsbiträdesavtal Ytterligare krav i Persnuppgiftslagen (1998:204) Offentlighets- ch sekretesslagstiftningen (2009:400) Fysisk säkerhet Tekniska ch administrativa aspekter Funktinella aspekter Slutsatser Terminlgi 13 1 (14)

2 1. Sammanfattning Efterfrågan på mlntjänster för fildelning ch synkrnisering är str inm Karlinska Institutet (KI). Sannlikheten för utbredd användning av knsumentversiner av tjänster sm t.ex. Drpbx är hög. Ingen inm KI har i dagsläget kntrll på vilka tjänster sm används, hur de används, av vem ch för vilken typ av infrmatin. Inm KI:s verksamhet hanteras infrmatin sm mfattas av sekretess i lag eller är känslig av andra rsaker. I styrdkumentet Riktlinjer ch regler för infrmatinssäkerhet vid Karlinska Institutet finns ett antal krav vid drift utanför KI. Bland annat ska riskanalys genmföras ch ett antal nyckelfaktrer kpplade till infrmatinssäkerhet säkerställas. Sannlikheten för att detta gjrts för de lösningar sm används bland lärsätets anknutna idag anses vara mycket låg. För att minska riskerna vid lagring ch synkrnisering av infrmatin i mlnet är ett alternativ att erbjuda anknutna en lösning sm gdkänts efter att ha prövats i en risk- ch sårbarhetsanalys. SUNET har upphandlat en tjänst från leverantören Bx Inc. ch är återförsäljare av tjänsten sm kallas SUNET Bx. SUNET har i sitt förfrågningsunderlag ställt relevanta krav ur infrmatinssäkerhetssynpunkt. Tjänsten är väl beprövad av svenska lärsäten ch det har genmförts ett antal risk- ch sårbarhetsanalyser under Slutsatserna i dessa stämmer väl överens med denna analys. Vid kntrll har inget lärsäte haft anledning att mpröva sina slutsatser. Sammanfattningsvis är SUNET Bx en förhållandevis säker lösning sm ur infrmatinssäkerhetsperspektiv kan rekmmenderas. Dck får ingen sekretessklassad infrmatin behandlas i tjänsten. Det innefattar känsliga persnuppgifter (vare sig direkta eller indirekta, dvs. kdade), övrig infrmatin sm i enlighet med Offentlighets- ch sekretesslagen (2009:400) eller annan lagstiftning är sekretesskyddad samt infrmatin sm klassas i den högsta knfidentialitetsnivån enligt Karlinska Institutets klassningsmdell (Regler ch riktlinjer för infrmatinssäkerhet vid KI). Anledningarna, sm presenteras nedan, är dels juridiska ch dels en generaliserad bild av den tekniska IT-säkerhetsnivån respektive användarbeteendet internt på KI. Det ska pängteras att majriteten av riskerna sm identifierats gäller mlntjänster för fildelning ch synkrnisering i allmänhet, inte specifikt SUNET Bx. - Persnuppgiftslagen (1998:204) Bristande kntrll på persnuppgiftsbiträden. Den persnuppgiftsansvarige (Karlinska Institutet) måste kunna förvissa sig m att alla persnuppgiftsbiträden (SUNET, Bx Inc. samt dess underleverantörer) verkligen vidtar de säkerhetsåtgärder sm krävs. Ju känsligare uppgifter sm behandlas, dest högre är kravet på att kntrllera biträdena. KI har inte kntrll på vilka persnuppgiftsbiträden sm invlveras i SUNET Bx-tjänsten ch därmed inte heller vilken säkerhetsnivå dessa håller. Även m vi får kntrll på vilka samtliga persnuppgiftsbiträden är, skulle det innebära en kmplicerad ch trligen kstsam uppgift att kntrllera dem. 2 (14)

3 Säkerhetskrav vid hantering av känsliga persnuppgifter i öppna nät. Krav ställs på stark autentisering, t.ex. e-legitimatin eller engångslösenrd respektive kryptering, vilket generellt inte uppfylls inm KI:s verksamheter. - Offentlighets- ch sekretesslagen (2009:400) Inget skydd mt annat lands lagstiftning. Avtalen innehåller inget skydd mt att annat lands lagstiftning tillämpas. Det innebär i praktiken att vi inte kan skydda infrmatinen mt amerikansk myndighets insyn (Patrit Act). Utlämnande av sekretessbelagd uppgift. Behandling av infrmatin hs extern part kan eventuellt anses utgöra ett utlämnande även m mttagaren (mlntjänsteleverantören) inte faktiskt tar del av infrmatin. Sekretessprövning innan utlämnande. Enligt OSL ska sekretessprövning av uppgift göras innan utlämnande, i detta fall behandling av infrmatin i mlntjänst. OSL utgör därmed eventuellt ett praktiskt hinder mt externa mlntjänster. - Funktinella risker (kmbinatin av teknisk IT-säkerhet ch användarbeteende) En av de stra fördelarna med mlntjänster är infrmatinens tillgänglighet. Detta är paradxalt ng även en av de stra riskerna. För säker hantering av infrmatin sm hanteras i mlnet krävs dels att enheterna sm kpplas mt tjänsten uppfyller adekvata säkerhetskrav, t ex kryptering ch stark autentisering, ch dels att uppkpplingen är säker. Ett högst sannlikt riskscenari är att t.ex. smarta telefner eller surfplattr med tillfredsställande säkerhetsskydd används i skyddade nätverk på t.ex. flygplatser, kaféer eller htell, för att hantera arbetsrelaterad infrmatin i mlntjänsten. Sammantaget kan SUNET Bx rekmmenderas för behandling av infrmatin sm inte är sekretessklassad i lag eller KI:s interna klassningsmdell. 3 (14)

4 2. Bakgrund Denna risk- ch sårbarhetsanalys har genmförts på förfrågan från ITA (Universitetsförvaltningens ITavdelning), Karlinska Institutet. Institutiner inm KI har visat intresse för användande av SUNET Bx varför det finns behv av att analysera m tjänsten uppfyller infrmatinssäkerhetskrav i lagar ch våra interna styrdkument. Dessutm bör KI erbjuda sina anknutna en säker lösning för lagring ch synkrnisering i syfte att minska användandet av lösningar sm inte uppfyller relevanta säkerhetskrav. Analysen är gjrd ur ett infrmatinssäkerhetsperspektiv ch utgår från KI:s Riktlinjer ch regler för infrmatinssäkerhet vid KI (dnr 1-516/2013), Regler ch riktlinjer för IT-säkerhet vid KI (dnr 5581/ ), Anvisningar för datranvändning vid KI (dnr: 496/07-030), Offentlighets- ch sekretesslagen samt Persnuppgiftslagen (PuL). Avtalsmässigt (KI, SUNET, Bx Inc) finns tillgång till följande: - Det övergripande avtalet mellan SUNET ch KI - Tilläggsavtalet mellan SUNET ch KI för Bx-tjänsten - PuL-appendix i avtalet mellan SUNET ch Bx Inc. - Upphandlingsunderlaget från SUNET till Bx Inc. Avtalet mellan SUNET ch Bx Inc har en sekretessklausul vilket innebär att det inte varit tillgängligt för denna analys, med undantag PuL-appendix. Bx Inc uppfyllde dck samtliga skallkrav i SUNET:s upphandling. I analysen undersöks huruvida SUNET:s krav avseende infrmatinssäkerhet är likvärdiga Karlinska Institutets. Chalmers, Linköpings Universitet ch Umeå Universitet har under 2012 genmfört risk- ch sårbarhetsanalyser av SUNET Bx. Dessa har beaktats ch ligger till viss del till grund för denna analys. Kntrll visar att utredarna på de lärsätena inte haft anledning att mpröva slutsatserna i sina analyser. 3. Nuläge Det finns en str efterfrågan inm Karlinska Institutet på lagrings- ch synkrniseringstjänster i mlnet. Tjänster sm möjliggör synkrnisering av filer mellan lika enheter ch erbjuder tillgänglighet utan att behöva befinna sig på arbetsplatsen samt möjlighet att dela filer med kllegr eller externa parter. Undersökningar sm andra svenska lärsäten gjrt i kmbinatin med signaler internt inm KI ger skäl att anta att användandet av knsumentversiner av mlnlagringstjänster, typ Drpbx, redan är utbrett inm lärsätet. Det saknas i dagsläget kntrll på exakt vilka mlnlösningar sm används, hur de används, av vem ch för vilken typ av infrmatin. Därmed finns heller ingen kntrll på avtalens utfrmning ch att KI:s infrmatinstillgångar hanteras i enlighet med lagar ch interna regelverk. Då KI sm myndighet har krav på sig avseende säker hantering av känslig infrmatin är det viktigt att erbjuda våra anknutna lösningar sm uppfyller de krav verksamheten bör eller ska ställa på leverantörer av mlnlagrings- ch synkrniseringstjänster. 4 (14)

5 4. SUNET Bx i krthet Bx är en lagrings- ch filsynkrniseringstjänst i mlnet (Sftware-as-a-Service) sm är gemensamt upphandlad av högsklr/universitet i Sverige via SUNET. Man har i upphandlingen ställt krav på säkerhet, funktinalitet ch juridik. SUNET Bx ger möjlighet att synkrnisera persnliga filer mellan datrer, mbiltelefner ch surfplattr samt dela ut filer till kllegr ch externa medarbetare. Sm mlntjänst erhålls fördelen, jämfört med lagring på lkala lärsätet eller datrn, att filerna är tillgängliga var man än befinner sig. Det är möjligt att synkrnisera katalgerna ch filerna med den lkala datrn eller mbila enheten så att man på så sätt kan kmma åt kpir sm kan lagras lkalt. Katalger ch filer kan delas inm ch utm rganisatinen ch med möjlighet för de sm har tillgång till en specifik fil att kmmentera eller lägga till uppgifter. Tjänsten har stöd för mbila plattfrmar sm ipad/iphne, Andrid, Blackberry/PlayBk, HP TuchPad ch m.bx.cm. Bx Inc:s mlntjänst är väl beprövad. Lösningen används enligt företagets hemsida av fler än verksamheter ch med det över 27 miljner ptentiella användare över världen. Bland kunderna finns ett flertal universitet. Förutm flera svenska, exempelvis även Stanfrd University ch Clmbia University. I USA har Internet2 ett avtal sm erbjuder deras medlemsuniversitet att använda Bx. 5. Juridiska aspekter SUNET har upphandlat ch tecknat ett avtal med Bx Inc i frm av ett återförsäljaravtal. Universitet ch högsklr sm vill använda SUNET:s Bx-tjänst kmmer inte att ha någn direkt avtals- ch affärsmässig relatin med Bx. Varje enskilt lärsäte tecknar en överenskmmelse med SUNET m användning av Bx-tjänsten. Den överenskmmelsen ska spegla SUNET:s avtal med Bx. Karlinska Institutet har ett persnuppgiftsbiträdesavtal med SUNET sm i sin tur har ett med Bx Inc. Bx Inc var den enda leverantören sm klarade alla skallkrav sm ställdes vid SUNET:s upphandling av tjänsten. 5 (14)

6 5.1 Urval av skallkraven i SUNET:s upphandlingsunderlag Bx Inc uppfyller enligt upphandlingsunderlaget samtliga skallkrav sm SUNET ställt. Nedan redvisas några av de viktigare ur infrmatinssäkerhetssynpunkt. - Bx Inc. förbinder sig till att all data sm behandlas i deras mlntjänst lagligen är kundens. - Bx Inc. förbinder sig till att kunden har tillgång till sina data i sex månader efter avtalets utgång. Om Bx Inc. går i knkurs kan detta trts allt ge vissa prblem. Då tjänsten i nrmalfallet synkrniserar filer mellan en lkal kpia ch Bx Inc. bedöms dck risken för infrmatinsförluster sm acceptabel. - Bx-tjänsten tillhandahålls från USA ch data lagras i USA respektive Amsterdam. Bx Inc. är anslutet till US-EU Safe Harbr enligt vilket är ett krav m persnuppgifter ska lagras i tredje land, d.v.s. utanför EU/EES. Bx Inc. förbinder sig att uppfylla kraven i Safe Harbr. - Bx Inc. ansvarar för att alla eventuella underleverantörer uppfyller kraven i upphandlingen. - Avtalen innehåller inget skydd mt att annat lands lagstiftning tillämpas, t.ex. amerikansk sm inkluderar USA PATRIOT Act. Det innebär att persnuppgifter kan kmma att lämnas ut direkt från Bx Inc. till tredje man (exempelvis den amerikanska staten), eller att trafiken kan övervakas utan att kunden infrmeras m detta. Denna risk aktualiseras i första hand m en medarbetare på ett lärsäte misstänks planera en terrristattack mt USA. Mtsvarande risk för övervakning av svenska myndigheter finns redan i dag genm FRA (när e-pst, filer etc. passerar landsgränsen). Inte heller i fallet med FRA skulle lärsätet infrmeras. Bx Inc. kan inte avtala brt den amerikanska lagstiftningen i detta avseende. Sammantaget bedöms risken för sådan användning av materialet sm liten. Riskerna går inte att undvika vid anlitande av utlandsbaserade företag ch är därför högre än m ett lärsäte driver tjänsten i egen regi eller vid utkntraktering till ett företag sm behåller all data inm Sverige. - Avtalet tlkas i alla avseenden i enlighet med svensk lag. - Bx har ett SLA-åtagande sm bl.a. lvar 99,9 % tillgänglighet. - Bx uppfyller SAS Type II (revisinsstandard sm bl. a. innefattar säkerhet). - SUNET kmmer att representera lärsätet vid eventuella avvikelser från avtalet ch andra meningsskiljaktigheter. 5.2 Persnuppgifter i mlnet Den sm använder en mlntjänst för sin persnuppgiftsbehandling är persnuppgiftsansvarig för behandlingen även m den utförs av mlntjänstleverantören eller dess underleverantörer. Leverantören ch dess underleverantörer är den persnuppgiftsansvariges persnuppgiftsbiträden. Det är den persnuppgiftsansvarige, i det här fallet Karlinska Institutet, sm ansvarar för att den svenska persnuppgiftslagen ch andra lagar följs, till exempel myndighetsspecifika registerförfattningar ch ffentlighets- ch sekretesslagen. 6 (14)

7 5.3 Kravuppfyllelse persnuppgiftsbiträdesavtal Sm PuL (Persnuppgiftslagen) kräver finns ett persnuppgiftsbiträdesavtal (Appendix 4, Agreement between Cntrller f Persn Data and Persnal Data Assistent) upprättat mellan Bx Inc. ch SUNET. Avtalet är i enlighet med förslag från jurist vid Linköpings Universitet ch har i ch med denna analys även kntrllerats av jurist ch tillika persnuppgiftsmbud vid Karlinska Institutet. SUNET har ett färdigt förslag på persnuppgiftsbiträdesavtal sm tecknas med kund. Detta ska spegla SUNET:s avtal med Bx Inc. samt uppfylla kraven i PuL. Datainspektinen sm är tillsynsmyndighet för behandling av persnuppgifter ställer krav avseende innehållet i persnuppgiftsbiträdesavtal. Hur dessa uppfylls i avtalen mellan dels Bx Inc. ch SUNET, ch dels i SUNET s avtalsförslag för sina kunder, redvisas nedan: 1. Avtalet ska föreskriva att persnuppgiftsbiträdet är skyldigt att tillämpa svensk lagstiftning när det gäller behandling av persnuppgifter. Avtal Bx Inc. ch SUNET - I punkt 3.1 framgår att Bx Inc. sm persnuppgiftsbiträde är ansvarig för att all behandling av persnuppgifter görs i enlighet med Persnuppgiftslagen. Avtal SUNET ch kund - I punkt 3.1 framgår att SUNET sm persnuppgiftsbiträde är ansvarig för all behandling av persnuppgifter i enlighet med Persnuppgiftslagen. - I punkt 3.3 framgår att SUNET sm persnuppgiftsbiträde är ansvarig för att all behandling av persnuppgifter görs i enlighet med tillämpliga lagar, föreskrifter ch praxis (inkluderande Datainspektinens beslut). - I punkt 3.4 framgår att SUNET sm persnuppgiftsbiträde är ansvarig för att all persnuppgiftsbehandling sker i enlighet med svensk lag. 2. Avtalet ska föreskriva att persnuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder enligt 31 persnuppgiftslagen: Avtal Bx Inc. ch SUNET - I punkt 4.1 framgår att Bx Inc. sm persnuppgiftsbiträde åtar sig att vidta lämpliga säkerhetsåtgärder i enlighet med PuL 31 första stycket. Avtal SUNET ch kund - I punkt 4 framgår att persnuppgiftsbiträdet ska vidta åtgärder sm avses i PuL 31, första stycket. 3. Avtalet ska föreskriva att persnuppgiftsbiträden endast får behandla persnuppgifter i enlighet med den persnuppgiftsansvariges instruktiner ch därmed säkerställa att persnuppgiftsbiträdet inte behandlar persnuppgifter för andra ändamål än dem sm persnuppgiftsbiträdet anlitats för. Avtal Bx Inc. ch SUNET - I punkt 3.2 framgår att Bx Inc. sm persnuppgiftsbiträde endast behandlar persnuppgifter i enlighet med avtalet samt instruktiner från persnuppgiftsansvarig. Avtal SUNET ch kund - I punkt 3.2 framgår att SUNET sm persnuppgiftsbiträde endast behandlar persnuppgifter i enlighet med uppdragsspecifikatin samt instruktiner från persnuppgiftsansvarig. 7 (14)

8 4. Avtalet ska säkerställa att den persnuppgiftsansvarige har kännedm m vilka andra persnuppgiftsbiträden sm kan kmma att behandla den persnuppgiftsansvariges persnuppgifter: Avtal Bx Inc. ch SUNET - Regleras ej i PuL-appendix. I upphandlingsunderlaget finns dck ett skallkrav på att Bx ansvarar för att eventuella underleverantörer uppfyller samma krav sm avtalas mellan SUNET ch Bx Inc. Avtal SUNET ch kund - Regleras i punkt Avtalet ska säkerställa att den persnuppgiftsansvarige på lämpligt sätt har möjlighet att följa upp att persnuppgiftsbiträden lever upp till den persnuppgiftsansvariges krav på persnuppgiftsbehandlingen ch verkligen vidtar lämpliga säkerhetsåtgärder. Avtal Bx Inc. ch SUNET - I punkt 4.4 framgår att t.ex. Datainspektinen ska tillåtas inspektin hs persnuppgiftsbiträde. - I punkt 4.3 förbinder sig Bx Inc. att persnuppgiftsbiträde ska vidta säkerhetsåtgärder sm Datainspektinen med lagstöd kräver. Avtal SUNET ch kund - I punkt 4 förbinder sig SUNET att tillåta inspektiner från Datainspektinen, Persnuppgiftsansvarig eller annan berörd part sm det enligt PuL kan krävas för upprätthållandet av krrekt behandling av persnuppgifter. - I punkt 4 förbinder sig SUNET att följa Datainspektinens beslut m åtgärder för att uppfylla lagens säkerhetskrav. 6. Avtalet ska säkerställa att det finns tekniska ch praktiska förutsättningar att utreda misstankar m att någn hs den persnuppgiftsansvarige eller hs någt persnuppgiftsbiträde haft behörig åtkmst till persnuppgifterna. Avtal Bx Inc. ch SUNET - Regleras ej i PuL-appendix. Avtal SUNET ch kund - I punkt 4 framgår att Persnuppgiftsansvarig ska kunna följa upp intrång med stöd av Persnuppgiftsbiträdet. 7. Avtalet ska säkerställa att parterna vet vilka åtgärder sm ska vidtas vid avtalets upphörande så att persnuppgiftsbiträdet inte har åtkmst till persnuppgifterna därefter. Avtal Bx Inc. ch SUNET - Regleras i punkt 6.1. Avtal SUNET ch kund - Regleras i punkt 6. 8 (14)

9 8. Persnuppgiftsbiträdesavtal upprättas antingen genm att man tecknar ett avtal med varje blag sm behandlar persnuppgifter för den persnuppgiftsansvariges räkning eller genm att i ett avtal ge ett blag mandat att ingå avtal med underbiträden. Ger man ett sådant mandat måste det framgå i avtalet att varje underbiträde har samma skyldigheter sm det persnuppgiftsbiträde sm den persnuppgiftsansvarige ingått avtal med. Avtal Bx Inc. ch SUNET - Bx Inc. ansvarar enligt skallkrav i upphandlingsunderlaget (Tender dcument, Service requirements, 1. Legal, punkt 5) för att alla eventuella underleverantörer uppfyller samma krav sm Bx Inc. Hur detta regleras parterna emellan ch hur persnuppgiftsansvarig har möjlighet att kntrllera detta framgår ej i de avtal sm finns tillgängliga. Det finns heller ingen möjlighet att kntrllera att sekretessförbindelser rörande persnuppgiftansvarigs infrmatin upprättats. Avtal SUNET ch kund - I 3.8 förbinder sig SUNET till att ta ansvar för underleverantörers arbete sm sitt eget. SUNET förbinder sig även till att ta ansvar för att anlitad underleverantör undertecknar en sekretessförbindelse. 5.4 Ytterligare krav i Persnuppgiftslagen (1998:204) Vid behandling av känsliga persnuppgifter, till exempel uppgifter m hälsa, brttsuppgifter ch andra sekretesskyddade uppgifter, kräver Datainspektinen bland annat att det ska finnas stark autentisering sm t.ex. e-legitimatin eller engångslösenrd vid överföring av uppgifter i öppet nät ch att uppgifterna ska skyddas med kryptering. Detta uppfylls generellt inte bland Karlinska Institutets anknutna. Kraven på åtkmstkntrller kräver att den persnuppgiftsansvarige inte bara ska utföra kntrller på förekmmen anledning utan ckså regelbundet ch systematiskt följa upp vem sm har haft åtkmst till vilka uppgifter. Huruvida verksamheter inm Karlinska Institutet har möjlighet att i tillräcklig mfattning systematiskt utföra kntrllerna enligt van är svårbedömt. Om persnuppgifter kmmer behandlas av persnuppgiftsbiträden i ett land utanför EU/EES måste den persnuppgiftsansvarige se till att någt av undantagen från förbudet mt överföring till tredje land kan tillämpas, till exempel samtycke, standardavtalsklausuler eller anslutande till Safe Harbrprinciperna. Bx-tjänsten tillhandahålls från USA ch data lagras i USA respektive Amsterdam. Bx Inc. är anslutet till US-EU Safe Harbr enligt vilket är ett krav m persnuppgifter ska lagras i tredje land, d.v.s. utanför EU/EES. Bx Inc. förbinder sig att uppfylla kraven i Safe Harbr. 9 (14)

10 5.5 Offentlighets- ch sekretesslagstiftningen (2009:400) Ur ffentlighetsperspektiv ch förmåga till utlämning av allmän handling nteras att tjänsten är en synkrniseringstjänst varför materialet ckså finns tillgängligt lkalt. Tillgängligheten till infrmatins sm behandlas i mlntjänsten är hög. Avseende infrmatin sm i lag är sekretessklassad får denna inte hanteras i öppna nät utan relevant säkerhetsskydd (se avsnittet m känsliga persnuppgifter). För mer infrmatin m vad sm mfattas av sekretesslagstiftningen, se Offentlighets- ch sekretesslag (2009:400). 6. Fysisk säkerhet Den fysiska säkerheten handlar bl.a. m datacentrens skydd mt fysisk stöld av hårdvara, skydd mt tillbörlig hantering av t.ex. USB-stickr, brand, översvämning ch naturkatastrfer. - Bx Inc förbinder sig i BOX-PUL punkt 4.1 att ha en tillräcklig fysisk säkerhet för att skydda persnuppgifter enligt PuL (kapitel 31 1) ch är ckså certifierade enligt SAS 70 Typ II. - Bx Inc beskriver sin fysiska säkerhet i Bx Security White Paper ch förbinder sig enligt uppgifter i tidigare risk- ch sårbarhetsanalyser att hålla denna säkerhetsnivå (bilaga 2, punkt B 3.1 fysisk säkerhet). - Bx Inc:s servrar finns i två gegrafiskt separerade datrhallar ch i dessa återfinns deras data i låsta burar eller avskärmade delar. Burarna övervakas 24 timmar m dygnet ch all tillträde lggas. Datacentret har skydd mt strömavbrtt, brand ch översvämning. Alla kritiska kmpnenter, så sm kmmunikatin, ström, kyla med mera har redundans. - Rörande den fysiska säkerheten för datacentret knstateras att dessa har flera lager av skalskydd inklusive vakter för att säkerställa att inga behöriga får fysiskt tillträde till kundernas infrmatin. Bedömningen i tidigare genmförda risk- ch sårbarhetsanalyser är att Bx Inc:s datacenter väl mtsvarar relevanta säkerhetskrav avseende fysisk säkerhet ch att det därmed anses vara låg risk för utfall av fysiska risker. Ingen från Karlinska Institutet har med kppling till denna analys genmfört egna kntrller eller analyser av leverantörens nivå på fysisk säkerhet. Då SUNET Bx är en mlntjänst är användaren berende av en fungerande Internetanslutning. Tjänstens funktin kmmer alltså att påverkas av driftavbrtt i KI:s nätverk, i SUNET, 3G/4G-nät eller annat nät sm användaren använder sig av. Många användare har dck flera anslutningsmöjligheter (t.ex. både SUNET ch mbilnät) vilket minskar risken. Dessutm är tjänsten en filsynkrniseringstjänst där filerna lagras även lkalt på den persnliga datrn vilket gör att tillgängligheten till filerna finns trts avbrtt i Internetanslutningen. Övriga funktiner i tjänsten sm kräver tillgång till tjänsten faller brt, t.ex. versinshantering, synkning, kmmentarer ch andra administrativa funktiner. 10 (14)

11 7. Tekniska ch administrativa risker Med alla synkrniseringstjänster finns en risk att den skriver över eller förstör filer. I SUNET Bx finns versinshantering sm gör att den gamla versinen finns kvar. Raderade filer hamnar i slutanvändarens skräpkrg. Det finns backuper lagrade utanför Bx egen miljö. Risken bedöms ligga på samma nivå sm vid egen drift av mtsvarande lösningar. I Bx Security White Paper beskrivs, enligt infrmatin i tidigare risk- ch sårbarhetsanalyser, dess quality assurance-prcess i syfte att säkerställa att ändringar i källkden inte påverkar tjänsten. All kd testas för t.ex. intrång. Bx Inc. har kntinuerlig övervakning i syfte att säkerställa ett gtt skydd mt intrång. I detta ingår sårbarhetsscanning. Enligt Bx Security White Paper sker all kmmunikatin krypterat med 256-bitars (SSL/HTTPS) mellan Bx Inc. ch användaren. Alla filer lagras krypterat (256-bitars AES-kryptering). Nycklarna lagras separat från data. All access till nycklarna lggas. All data lagras även krypterat ffsite för redundant backup. Bx Inc. lggar all upp- ch nedladdning, d.v.s. alla accesser till filer med datum, tid, användarnamn, ip-nummer ch händelse. Lggarna sparas i ett år ch är tillgängliga för administratörer av tjänsten. Tjänsten är integrerad med SWAMID (säker identifiering av anslutna till universitet, högsklr ch övriga myndigheter relaterade till frsknings- ch utbildningssektrn) vilket eliminerar behvet av att skapa extra användarkntn ch hantering av lösenrd. 8. Funktinella aspekter Eftersm lösningen är en synkrniseringstjänst har användaren en kpia på sin infrmatin även lkalt. En säkerhetsmässig fördel är att man slipper skicka filer i e-pst utan kan istället skicka lösenrdsskyddade länkar till filer för nedladdning. En annan fördel med tjänsten är möjligheten att nå sin lagrade infrmatin från sina lika enheter, t.ex. via datr, surfplatta ch smartphne, avsett var man befinner sig. Detta är i sig även en allvarlig risk vid behandling av känslig infrmatin. Möjligheterna ch flexibiliteten kräver str kunskap hs medarbetare sm ska använda tjänsten. Uppkppling via skyddade nätverk med enheter med tillräcklig säkerhet kan utgöra en allvarlig risk för KI. 11 (14)

12 9. Slutsatser Ingen sekretessklassad infrmatin får hanteras i SUNET Bx. Det innefattar känsliga persnuppgifter (vare sig direkta eller indirekta, dvs. kdade), övrig infrmatin sm i enlighet med Offentlighets- ch sekretesslagen (2009:400) är sekretesskyddad samt infrmatin sm klassas i den högsta knfidentialitetsnivån enligt Karlinska Institutets klassningsmdell. Anledningarna är följande: - Persnuppgiftslagen (1998:204) Bristande kntrll på persnuppgiftsbiträden. Den persnuppgiftsansvarige (Karlinska Institutet) måste kunna förvissa sig m att alla persnuppgiftsbiträden (SUNET, Bx Inc samt dess underleverantörer) verkligen vidtar de säkerhetsåtgärder sm krävs. Ju känsligare uppgifter sm behandlas, dest högre är kravet på att kntrllera biträdena. KI har inte kntrll på vilka persnuppgiftsbiträden sm invlveras i SUNET Bx-tjänsten ch därmed inte heller vilken säkerhetsnivå dessa håller. Även m vi får kntrll på vilka samtliga persnuppgiftsbiträden är det en kmplicerad ch trligen kstsam uppgift att kntrllera dem. Säkerhetskrav vid hantering av känsliga persnuppgifter i öppna nät. Krav ställs på stark autentisering, t.ex. e-legitimatin eller engångslösenrd respektive kryptering, vilket generellt inte uppfylls inm KI. - Offentlighets- ch sekretesslagen (2009:400) Inget skydd mt annat lands lagstiftning. Avtalen innehåller inget skydd mt att annat lands lagstiftning tillämpas. Det innebär i praktiken att vi inte kan skydda infrmatinen mt amerikansk myndighets insyn (Patrit Act). Utlämnande av sekretessbelagd uppgift. Behandling av infrmatin hs extern part kan eventuellt anses utgöra ett utlämnande även m mttagaren (mlntjänsteleverantören) inte faktiskt tar del av infrmatin. Sekretessprövning innan utlämnande. Enligt OSL ska sekretessprövning av uppgift göras innan utlämnande, i detta fall behandling av infrmatin i mlntjänst. OSL utgör därmed eventuellt ett praktiskt hinder mt externa mlntjänster. 12 (14)

13 - Funktinella risker (kmbinatin av teknisk IT-säkerhet ch användarbeteende) En av de stra fördelarna med mlntjänster är infrmatinens tillgänglighet. Detta är paradxalt ng även en av de stra riskerna. För säker hantering av infrmatin sm hanteras i mlnet krävs dels att enheterna sm kpplas mt tjänsten uppfyller adekvata säkerhetskrav, t ex kryptering ch stark autentisering, ch dels att uppkpplingen är säker. Ett högst sannlikt riskscenari är att t.ex. smarta telefner eller surfplattr med tillfredsställande säkerhetsskydd används i skyddade nätverk på t.ex. flygplatser, kaféer eller htell, för att hantera arbetsrelaterad infrmatin i mlntjänsten. Eftersm Bx Inc är anslutet till US-EU Safe Harbr ch i avtalet med SUNET garanterar laguppfyllelse av de flesta krav i Persnuppgiftslagen kan persnuppgifter sm klassas sm icke känsliga behandlas där. Exempel på sådana persnuppgifter är namn, efternamn, hemadresser ch persnnummer. Infrmatin sm anses vara känslig ur tillgänglighetssynpunkt kan lagras i den aktuella tjänsten då SUNET Bx garanterar 99,9 % tillgänglighet ch dessutm genm synkrnisering finns tillgänglig lkalt. 10. Terminlgi - Persnuppgifter All slags infrmatin sm direkt eller indirekt kan knytas till en fysisk persn sm är i livet. Även bild- ch ljuduppgifter m en fysisk persn räknas sm persnuppgifter, även m inga namn nämns. Krypterade eller kdade uppgifter är ckså persnuppgifter m någn har en nyckel sm kan kppla dem till en persn. (Källa: Datainspektinen) - Känsliga persnuppgifter Persnuppgifter sm avslöjar ras eller etniskt ursprung, plitiska åsikter, religiös eller filsfisk övertygelse, medlemskap i fackförening samt sådana persnuppgifter sm rör hälsa eller sexualliv. (Källa: Datainspektinen) - Persnuppgiftsansvarig Den sm ensam eller tillsammans med andra bestämmer ändamålen, det vill säga syftet med, ch medlen för behandlingen av persnuppgifter. Observera att det nästan alltid är en juridisk persn, en myndighet, ett företag eller en rganisatin sm är persnuppgiftsansvarig. Minnesregel: Det är den persnuppgiftsansvarige sm kan åläggas utge skadestånd till en registrerad sm har blivit skadad eller kränkt av behandlingen. (Källa: Datainspektinen) 13 (14)

14 - Persnuppgiftsmbud Den fysiska persn sm, efter att ha utsetts av den persnuppgiftsansvarige, självständigt ska se till att persnuppgifter behandlas på ett krrekt ch lagligt sätt. (Källa: Datainspektinen) - Persnuppgiftsbiträde Den sm behandlar persnuppgifter för den persnuppgiftsansvariges räkning. (Källa: Datainspektinen) - Behandling av persnuppgifter Varje åtgärd eller serie av åtgärder sm vidtas i fråga m persnuppgifter, vare sig det sker på autmatisk väg eller inte, t.ex. insamling, registrering, rganisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genm översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blckering, utplåning eller förstöring. (Källa: Datainspektinen) - Sekretess Sekretess är beteckningen på infrmatin sm inte ska lämnas ut ch därför inte är allmänt tillgänglig. (Källa: Datainspektinen) - Fildelning Utbyte av filer mellan datrnätanvändare med hjälp av fildelningsprgram. (Källa: Natinalencyklpedin) - Filsynkrnisering mlntjänst Innebär att det sm lagras i en mlntjänst även lagras lkalt ch är tillgängligt utan uppkppling till den aktuella mlntjänsten. - Mlntjänst En teknik där resurser, sm till exempel prcessrkraft, lagring ch funktiner, tillhandahålls sm tjänster via internet. (Källa: MSB) Karlinska Institutet har genm denna risk- ch sårbarhetsanalys funnit att användning av tjänsten SUNET Bx kan gdkännas för infrmatin sm inte är sekretessklassad i lag eller klassad sm knfidentiell i KI:s interna klassningsmdell Ulla Sundberg Lars Hartzell IT-direktör Infrmatinssäkerhetssamrdnare Karlinska Institutet, UF/ITA Karlinska Institutet, UF/FA 14 (14)